检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 权限创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表5 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
通过设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统数据的安全性。 最终一致性 最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。
本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为企业项目购买资源。 登录华为云控制台,单击页面左上角的,选择“计算 > 弹性云服务器 ECS”。 单击页面右上角的“购买弹性云服务器”,系统进入购买页。 图9 购买弹性云服务器 配置弹性云服务器各项信息,
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果
下表为当前华为云支持资源级别授权的云服务及对应资源类型。 表1 支持资源粒度授权的云服务及其资源类型 服务 资源类型 资源名称 弹性云服务器(ECS) instance 弹性云服务器 云硬盘(EVS) volume 云硬盘 对象存储服务(OBS) bucket 桶 object 对象 虚拟私有云(VPC)
自定义策略更新时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 自定义策略创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 description_cn String
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 您可以参考以下Demo示例创建云服务登录地址:使用token方式创建云服务登录地址 云服务代理登录地址中包含从IAM获得的登录票据loginTo
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 为了浏览器正常识别参数内容,需要将以上三个参数都进行UrlEncode编码。 您可以参考以下Demo示例创建云服务登录地址FederationProxyUrl:使用委托方式创建云服务登录地址
面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:敏感操作。
UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 自定义策略创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表9 role.links 参数 参数类型 描述 self String 资源链接地址。 表10
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 自定义策略创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表8 role.links 参数 参数类型 描述 self String 资源链接地址。 表9
为了区分华为云的用户与联邦用户,建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称,如ADFS、Shibboleth等,用于区分不同身份提供商下的联邦用户;“XXX”为自定义的具体名称。 须知: 同一身份提供商的联邦用户名需要
ce=指定url”。例如:获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml,指定跳转的控制台地址为https://console.huaweicloud
ce=指定url”。例如:获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml,指定跳转的控制台地址为https://console.huaweicloud
自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。 在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。
查询IAM用户的登录保护状态信息列表 查询指定IAM用户的登录保护状态信息 查询委托下的所有项目服务权限列表 为委托授予所有项目服务权限 检查委托下是否具有所有项目服务权限 移除委托下的所有项目服务权限 安全设置 2020-07-15 第三十九次正式发布。 本次变更说明如下: 优化章节:授权项
IAM用户修改登录保护验证方式。 管理员在安全设置的敏感操作页签中,单击“登录保护”右侧的“立即修改”,在弹窗中“验证方式”选择手机/邮件地址/虚拟MFA。 父主题: 安全设置类
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
